Opt-out bei Cookies für Werbezwecke zulässig (OLG Frankfurt am Main, Urteil vom 17.12.2015 – 6 U 30/15)

Die Richter des 6. Zivilsenats des OLG Frankfurt haben sich anlässlich der Berufung eines Gewinnspielveranstalters gegen ein Urteil des LG Frankfurt im Streit um Werbeeinwilligungen und ein Cookie-Opt-out zur Analyse des Surf- und Nutzungsverhaltens zur Frage der Umsetzung der sog. Cookie-Richtlinie in deutsches Recht geäußert. Dieser Aspekt sorgte in der Vergangenheit für einige Unsicherheit. Das vorliegende Urteil enthält für Anbieter wichtige Handlungsempfehlungen.

Dem Streit lagen die Einwilligungen zugrunde, mit denen Gewinnspielteilnehmer der werblichen Ansprache per E-Mail und der Analyse ihres Surf- und Nutzungsverhaltens mittels Cookies zustimmen sollten. Die Verbraucherzentrale Bundesverband (vzbv) hatte die Konzeption und Gestaltung der Einwilligung beanstandet.

Unübersichtliche Einwilligung für Werbeansprachen durch Kooperationspartner

Im Rahmen der Gewinnspielteilnahme wurden die Nutzer aufgefordert, mittels einer Checkbox der werbenden Ansprache per E-Mail aktiv zuzustimmen. In der Einwilligungserklärung war dabei eine Liste mit 59 Partnerunternehmen des Veranstalters verlinkt, aus der die Teilnehmer diejenigen auszuwählen konnten, denen sie die Zusendung von Werbung gestatten wollen. In der Liste konnte bei jedem Unternehmen gesondert ein Abmelde-Link angeklickt werden. Verzichtete der Teilnehmer auf diese spezifische Wahlmöglichkeit, nahm stattdessen der Veranstalter eine Auswahl von dreißig Unternehmen aus der Liste vor. Eine solche Gestaltung der Einwilligungserklärung ist nach Ansicht der Richter trotz der aktiven Wahlmöglichkeit der Teilnehmer nicht als wirksame Einwilligung zu werten. Das umständliche Abmeldeverfahren und die sehr umfangreiche Liste der Partnerunternehmen machten die Einwilligung insgesamt unüberschaubar und schwer verständlich, so dass ein Teilnehmer den Inhalt und Umfang der abgegebenen Erklärung nicht ohne Weiteres realistisch erfassen könne. Dass die Teilnehmer die einzelnen Werbepartner theoretisch hätten auswählen können, ließ das Gericht nicht gelten. Der zeitliche Aufwand der Auswahl konkreter Werbepartner aus der Liste stehe in keinem Verhältnis zu der Teilnahme an einem einfachen Gewinnspiel. Im Ergebnis könne daher nicht von einer informierten Einwilligung ausgegangen werden.

Zustimmung zur Cookie-Nutzung erfordert kein Opt-in

Erfolg hatte die Berufung des Gewinnspielveranstalters jedoch im Hinblick auf die zweite angegriffene Einwilligungserklärung. Mit einer gesonderten Einwilligung sollten Teilnehmer dem Einsatz von Cookies zustimmen. Mit Hilfe dieser Cookies sollte das Surf- und Nutzungsverhalten der Teilnehmer auf den Webseiten der Werbepartner erfasst und analysiert werden. In der Einwilligungserklärung war ein weiterführender Link enthalten, der die Funktionsweise der Cookies genauer erläuterte. Eine bereits vorausgewählte Checkbox ermöglichte dem Nutzer die Verwendung der Cookies zu unterbinden, indem er hier das Häkchen entfernte. Anders als noch das erstinstanzliche Gericht erachteten die Berufungsrichter diese Variante als zulässig. Die Ausgestaltung mittels der vorausgewählten Checkbox entspreche insbesondere auch den Anforderungen der Cookie-Richtlinie.

Ein ausdrückliches Opt-out genüge sowohl im Hinblick auf § 15 Abs. 3 TMG und die ständige BGH-Rechtsprechung (insbes. Payback-Urteil) als auch im Hinblick auf die EU-Cookie-Richtlinie (Rl 2009/136/EG). Dort werde kein Opt-in gefordert. Soweit ein Anbieter die Einwilligung auf Grundlage einer klaren und unmissverständlichen Information des Nutzers einhole, könne diese auch als Opt-out ausgestaltet werden.

Soweit die nationalen Datenschutzbehörden im Rahmen der Artikel-29-Datenschutzgruppe anderer Ansicht seien, sei dies nicht ausschlaggebend, da dies nur die „unverbindliche Meinungsäußerung“ eines Beratungsgremiums darstelle. Darüber hinaus könne die von den Datenschutzbehörden geforderte „bejahende Handlung“ durchaus auch in der bewussten Akzeptanz einer vorausgewählten Einwilligungserklärung bestehen.

Den Einwand des vzbv, es fehle der Einwilligung an der erforderlichen deutlichen drucktechnischen Gestaltung, ließen die Richter nicht gelten. Der Gesetzgeber habe mit dieser Vorgabe lediglich die Hervorhebung der Einwilligungserklärung als solche sicherstellen wollen. Die Kombination aus Einwilligungserklärung und weiterführenden Erläuterungen über Hintergründe und Tragweite der Einwilligung im Rahmen eines weiterführenden Links sei hingegen eine Frage des Inhalts der Einwilligung. Die vorliegende Einwilligung sei hinreichend klar, umfassend und verständlich.

Das Urteil ist noch nicht rechtskräftig, in der nächsten Instanz könnte die Frage nach der Umsetzung der Cookie-Richtlinie in Deutschland durch den BGH nunmehr geklärt werden. Anbieter sollten einer sorgfältigen Ausgestaltung komplizierter Einwilligungserklärungen große Bedeutung beimessen. Ein trickreiches Kaschieren vielschichtiger Werbeeinwilligungen ist wenig erfolgversprechend. Allerdings unterscheiden sich die Anforderungen an verschiedene Einwilligungen stark und insbesondere ist ein aktives Opt-in in Bezug auf die Cookie-Nutzung nicht zwingend notwendig – sofern die erforderlichen Informationen und ein Opt-out klar und verständlich präsentiert werden.

 

Klagerecht für Verbraucherverbände

Datenschutz: Neues Klagerecht für Verbraucherverbände

Am 17. 12. 2015 hat der Bundestag ein neues Gesetz im Datenschutz- und Verbraucherschutzrecht beschlossen. Mit dieser Neuregelung können Verbraucher- und Wirtschaftsverbände sowie Wirtschaftskammern bei Verstößen von Unternehmen gegen verbraucherschutzrelevante Vorschriften des Datenschutzrechts Unterlassungsansprüche geltend machen.

Ausgangslage

Bislang galt nach dem Bundesdatenschutzgesetz (BDSG), dass Betroffene ihre ihnen nach dem Gesetz zustehenden Rechte gegenüber den verantwortlichen Stellen nur selbst geltend machen konnten. So musste ein Verbraucher eine Verletzung des Datenschutzrechts zu seinen Lasten selbst nachweisen und rechtliche Schritte gegen das jeweilige Unternehmen einleiten. Diese Rechtslage stand teilweise in der Kritik, weil einzelne Verbraucher sich auf Grundlage der alten Bestimmungen häufig gegen Unternehmen mit großer Marktmacht durchsetzen mussten.

Die gesetzlichen Neuerungen

Durch das neue Gesetz können Verbraucher- und Wirtschaftsverbände sowie Industrie-, Handwerks- und Handelskammern Datenschutzverstöße im Wege der Unterlassungsklage verfolgen, soweit Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens von Auskunfteien, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden. Soweit diese Voraussetzungen erfüllt sind, sind Verstöße gegen alle Vorschriften des Datenschutzrechts verfolgbar.

Zugleich wurde beschlossen, die Anforderungen an die Form von Erklärungen des Verbrauchers zu senken. Grundsätzlich soll der Verbraucher Erklärungen gegenüber dem Unternehmen stets in Textform tätigen dürfen. Die Kündigung eines Vertrages kann daher in AGB nicht mehr an die Schriftform gebunden werden. Es genügt in der Regel eine Erklärung per E-Mail.

Reaktionen und Konsequenzen für die Praxis

Die Bundesregierung preist ihr Gesetz als Gewinn für Verbraucher, die nun nicht mehr allein gegen scheinbar übermächtige Unternehmen vorgehen müssen. Die Opposition im Bundestag hatte noch weitergehende Klagerechte für Verbände beantragt.

Vertreter von Unternehmen sehen demgegenüber Schwächen der neuen Rechtslage: Der Bundesverband Deutsche Startups e. V. kritisiert die Reform wegen der Entstehung einer zusätzlichen Kontrollinstanz, die anders als die zuständigen Behörden weder unabhängig sei noch Interesse an Kompromissen habe. Es sei eine Klagewelle zu befürchten, welche die Arbeit und den Erfolg der deutschen Unternehmen massiv beeinträchtigen werde.

Im Ergebnis bleibt abzuwarten, wie die Verbände ihre neuen Befugnisse nutzen werden. Unternehmen werden aber in jedem Fall mit einer noch strengeren Überprüfung hinsichtlich der Umsetzung rechtlicher Vorgaben rechnen müssen. Dies stellt insbesondere für kleinere Unternehmen und Start-Ups eine nicht unerhebliche Hürde dar, weil sich hier die für die fehlerlose Umsetzung der Vorschriften notwendigen unternehmerischen Strukturen noch in der Entstehung befinden. Zur Vermeidung von Nachteilen sollten sich diese Unternehmen schon in der Anfangsphase um eine umfassende und kompetente rechtliche Beratung bemühen. Aber auch etablierten Unternehmen ist zu empfehlen, ihre datenschutzrechtlichen Regelungen zu überprüfen – gerade im Hinblick auf die im Datenschutz recht häufig unklare Rechtslage ist auch hier mit einer Vielzahl von Abmahnungen zu rechnen.

Update: Gesetz im Bundesgesetzblatt verkündet

Am 23. 02.2016 wurde das entsprechende Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts im Bundesgesetzblatt verkündet (Jahrgang 2016 Teil I Nr. 8, 233 f.). Die Neuregelungen treten am 24.02.2016 in Kraft.

 

OS-Plattformen Abmahnungen

Verstöße gegen die Preisangabenverordnung als Abmahngrund – Vorsicht ist geboten

Verstöße gegen die Preisangabenverordnung (PAngV) sind immer wieder Gegenstand wettbewerbsrechtlicher Auseinandersetzungen. Was ist bei der Preisauszeichnung eines Warenangebotes zu beachten?

Nach ständiger Rechtsprechung fallen Verstöße gegen die PAngV in die Fallgruppe des § 4 Nr. 11 UWG. Danach handelt insbesondere unlauter, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Es muss sich also um eine (auch) verbraucherschützende Norm handeln. Das ist bei der PAngV der Fall, sie stellt eine Marktverhaltensregelung zum Schutze der Verbraucher im Sinne des § 4 Nr. 11 UWG dar (BGH GRUR 2009, 1180 – 0,00 Grundgebühr; BGH GRUR 2010, 652 – Costa del Sol; BGH WRP 2012, 1384 – Preisverzeichnis bei Mietwagenangebot). Verstöße gegen die PAngV sind daher zugleich unlautere geschäftliche Handlungen im Sinne des UWG. Sie müssen allerdings die Eignung zu einer spürbaren Beeinträchtigung der Interessen der Verbraucher oder Mitbewerber besitzen, § 3 UWG. In der Regel ist das bei Verstößen gegen die PAngV aber der Fall.

Zentrale Regelung: Pflicht zur Angabe des Gesamtpreises

Grundsätzlich soll die Preisangabenverordnung (PAngV) verhindern, dass der Letztverbraucher selbst den zu zahlenden Preis ermitteln muss. Zentrale Regelung zur Verpflichtung zur Angabe des Gesamtpreises ist § 1 Abs. 1 Satz 1 PAngV. Danach hat, wer Letztverbrauchern Waren oder Dienstleistungen gewerbs- oder geschäftsmäßig oder regelmäßig in sonstiger Weise anbietet oder als Anbieter von Waren oder Leistungen gegenüber Letztverbrauchern unter Angabe von Preisen wirbt, die Preise anzugeben, die einschließlich der Umsatzsteuer und sonstiger Preisbestandteile zu zahlen sind (Gesamtpreis). Die Regelung beruht auf europäischem Recht und ist daher richtlinienkonform auszulegen.

Unter dem Gesamtpreis im Sinne des § 1 Abs. 1 Satz 1 PAngV ist das tatsächlich zu zahlende Gesamtentgelt zu verstehen (BGH GRUR 1983, 665 – Preisangaben I). Der Gesamtpreis ist genau zu beziffern. Es ist die Summe aller Einzelpreise anzugeben, die zu bezahlen ist. Hierbei genügen nicht ungefähre Angaben, wie zum Beispiel „ca.“ oder „rund“. Der anzugebende Gesamtpreis muss die Umsatzsteuer enthalten. Sonstige Preisbestandteile sind alle Preise und Kosten, die der Verkäufer in die Kalkulation seines Gesamtpreises einbezieht. Demnach muss ein Kfz-Einzelhändler bei der Werbung für Kraftfahrzeuge auch die obligatorischen Überführungskosten und gegebenenfalls Kosten für Umrüstung und TÜV-Abnahme in den Gesamtpreis aufnehmen, da der Verkehr solche Nebenkosten nicht als zusätzliche Frachtkosten, sondern als Bestandteile des Gesamtpreises auffasst (BGH GRUR 1983, 443 – Kfz Endpreis; OLG Düsseldorf GRUR 2008, 65; OLG Köln WRP 2013, 192). Etwas anderes gilt, wenn der Händler dem Kunden die Wahl zwischen Selbstabholung und Überführung überlässt. In diesem Fall kann er sich darauf beschränken, die Überführungskosten gesondert anzugeben (BGH GRUR 1983, 658 – Herstellerpreisempfehlung in Kfz Händlerwerbung). Des Weiteren dann, wenn die Höhe der Überführungskosten im Einzelfall unterschiedlich ist und deswegen ein umfassender Gesamtpreis noch nicht angegeben werden kann (OLG Köln WRP 2013, 192).

Bis Juni 2014 wurde der anzugebende Preis in der PAngV als „Endpreis“ bezeichnet. Handelt nun wettbewerbswidrig, wer statt des nunmehr so genannten „Gesamtpreises“ immer noch einen „Endpreis angibt? Zwar besteht Einigkeit, dass sich inhaltlich durch die Umbenennung nichts geändert und es sich lediglich um eine redaktionelle Anpassung gehandelt hat. Allerdings vertreten Gerichte in Wettbewerbsfällen teilweise eine sehr restriktive und formale Auffassung hinsichtlich Verwendung gesetzlicher Begriffe, so dass es nicht auszuschließen ist, dass ein Gericht die Verwendung des Begriffs „Endpreis“ als wettbewerbswidrig ansieht. Vorsorglich und um Streitigkeiten in diesem Punkt zu vermeiden, wird es jedenfalls für empfehlenswert gehalten, den alten „Endpreis“ nun als „Gesamtpreis“ zu bezeichnen. Rechtsprechung existiert hierzu nach derzeitigem Kenntnisstand allerdings nicht. Zwingend ist die Verwendung des Begriffs „Gesamtpreis“ zur Hervorhebung jedenfalls nicht.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Preisklarheit und Preiswahrheit

Des Weiteren müssen die allgemeinen Anforderungen an die Darstellung der Preisangaben gemäß § 1 Abs. 6 PAngV erfüllt sein. Danach müssen die Angaben der allgemeinen Verkehrsauffassung und den Grundsätzen von Preisklarheit und Preiswahrheit entsprechen. In § 1 Abs. 6 Satz 2 PAngV wird dieser Grundsatz konkretisiert: Die Angaben müssen dem Angebot oder der Werbung eindeutig zuzuordnen sowie leicht erkennbar und deutlich lesbar oder sonst gut wahrnehmbar sein. Nach § 1 Abs. 6 Satz 3 PAngV sind bei der Aufgliederung von Preisen die Gesamtpreise hervorzuheben.

Der Maßstab der allgemeinen Verkehrsauffassung besagt, dass es auf den durchschnittlich informierten, situationsadäquat aufmerksamen und verständigen Letztverbraucher ankommt.

Der Grundsatz der Preiswahrheit bedeutet, dass der angegebene Preis mit dem Preis übereinstimmen muss, den der Letztverbraucher tatsächlich zu bezahlen hat.

Wichtig ist weiterhin der Grundsatz der Preisklarheit. Der angegebene Preis muss für den Letztverbraucher eindeutig zuzuordnen und klar erkennbar sein, § 1 Abs. 6 Satz 2 PAngV. Der Fall, dass für ein und dieselbe Ware unterschiedliche Preise angegeben werden, wird nicht als Verstoß gegen die PAngV erfasst, es kann aber eine irreführende Werbung gemäß § 5 UWG vorliegen. Irreführend ist aber noch nicht eine Gegenüberstellung des tatsächlich verlangten Gesamtpreises und einer unverbindlichen Preisempfehlung des Herstellers (Köhler/Bornkamm, § 5 UWG Rn. 7.44 ff).

Hervorhebung des Gesamtpreises

Schließlich ist bei einer Aufgliederung von Preisen der Gesamtpreis hervorzuheben, § 1 Abs. 6 Satz 3 PAngV. Eine Aufgliederung von Preisen liegt vor, wenn neben dem Gesamtpreis auch Preisbestandteile ausgewiesen sind. Die Hervorhebung kann optisch erfolgen oder durch eine entsprechende Bezeichnung, zum Beispiel als Gesamtpreis. Allerdings ist die Anwendbarkeit des § 1 Abs. 6 Satz 3 PAngV aus folgenden Gründen umstritten: Das Preisangabenrecht beruht auf europäischem Recht und ist richtlinienkonform auszulegen. Die Vorschriften der PAngV sind daher auf Vereinbarkeit mit den zu Grunde liegenden Richtlinien zu prüfen. Hier gilt unter anderem die Richtlinie gegen unlautere Geschäftspraktiken, UGP-RL, sowie die Preisangabenrichtlinie. Eine gewichtige Meinung in der Literatur kommt zu einer Unanwendbarkeit des § 1 Abs. 6 Satz 3 PAngV, weil dieser über die Anforderungen des Art. 7 Abs. 2, Abs. 4 UGP-RL hinausgeht. Die Vorschrift des § 1 Abs. 6 Satz 3 PAngV ist also strenger als die Anforderungen der Richtlinie. Das soll nach dieser Auffassung aufgrund Art. 3 Abs. 5 Satz 1 UGP-RL dazu führen, dass nach einer Übergangsfrist, die am 12. Juni 2013 abgelaufen ist, die Vorschrift des § 1 Abs. 6 Satz 3 PAngV nicht mehr angewendet werden darf (Köhler WRP 2013, 723, 727; Köhler/Bornkamm, § 1 PAngV Rn. 52). Dagegen gibt es aber auch Stimmen, die davon ausgehen, die Vorschrift lasse sich richtlinienkonform auslegen und sei grundsätzlich nach wie vor wirksam (Omsels in omsels.info, Online-Kommentar zum UWG zur UGP-RL, Anmerkung g)). Vor dem Hintergrund, dass es sowohl instanz- als auch höchstrichterliche Rechtsprechung hierzu noch nicht gibt, wird empfohlen, die Vorgabe des § 1 Abs. 6 Satz 3 PAngV nach wie vor einzuhalten und den Gesamtpreis gegenüber den anderen Preisbestandteilen deutlich hervorzuheben.

Landesarbeitsgericht Berlin: Arbeitgeber darf Browserdaten der Mitarbeiter auslesen

Eine der sicherlich am Häufigsten diskutiertesten Problematiken im Bereich des Datenschutzrechts ist die Frage der privaten Internetnutzung am Arbeitsplatz. Insbesondere für Arbeitgeber stellt sich hier immer wieder die Frage, welche Konsequenzen es hat, wenn eine private Nutzung des betrieblich zur Verfügung gestellten Internets gestattet ist. Wird der Arbeitgeber zum Telekommunikationsanbieter? Dürfen Browserdaten protokolliert werden und wenn ja in welchem Umfang? Zu welchen Zwecken darf auf diese Daten zugegriffen werden? Und natürlich die letzte Frage würde eine Einwilligung des Arbeitnehmers benötigt, wenn man solche Browserdaten speichern und ggf. auf sie zugreifen möchte? Diese grundlegenden Fragen sind bisher ungeklärt und in der juristischen Literatur durchaus umstritten. Daher haben viele Datenschutzbeauftragte häufig die Notbremse gezogen und „ihren“ Unternehmen geraten, die private Nutzung des betrieblichen Internetanschlusses zu untersagen. Nichtsdestotrotz gibt es hier natürlich ein immenses Bedürfnis der Unternehmen für ihre Mitarbeiter einen attraktiven Arbeitsplatz bereit zu stellen wozu es sicherlich auch zwischenzeitlich gehört, dass die Mitarbeiter – sofern und soweit es natürlich nicht die Arbeit beeinträchtigt – in einem geringen Umfang das Internet privat nutzen dürfen. Nun hat das Landesarbeitsgericht Berlin die lang umstrittene Frage entschieden, ob und inwieweit der Arbeitgeber auf die Browserprotokolldaten zugreifen kann, wenn eine private Nutzung – wenn auch nur im geringen Umfang – gestattet ist.

Hintergrund:

In dem vom Landesarbeitsgericht Berlin zu entscheidenden Fall hatte der Arbeitgeber dem Arbeitnehmer einen Dienstrechner gestellt. Darüber hinaus war vereinbart, dass eine private Nutzung des Internets in Ausnahmefällen während der Arbeitspausen gestattet war, im Übrigen diente der Internetzugang nur dienstlichen Zwecken. Nachdem dem Arbeitgeber diverse Hinweise auf eine massive und über die Arbeitspausen hinausgehende private Nutzung des betroffenen Arbeitnehmervorlagen, wertete der Arbeitgeber ohne die Zustimmung des Arbeitnehmers den Browserverlauf des Dienstrechners aus und kündigte anschließend dem Arbeitsnehmer wegen einer festgestellten Privatnutzung des Internetanschlusses von insgesamt fünf Tagen in einem Zeitraum von 30 Arbeitstagen aus wichtigem Grund.

Zur Entscheidung:

Das Landesarbeitsgericht hat die Kündigung für rechtswirksam erachtet und erfreulicherweise auch zu der datenschutzrechtlichen Komponente Stellung genommen. Unabhängig von der arbeitsrechtlichen Frage, dass auch die unerlaubte Nutzung des Internets nach Abwägung beiderseitigen Interessen nach Auffassung des Landesarbeitsgerichts Berlins eine sofortige Auflösung des Arbeitsverhältnisses rechtfertige – ging es vor allem auch darum, ob und inwieweit der Arbeitgeber auf den Browserverlauf zugreifen durfte. Hier hatte der Arbeitnehmer vorgetragen, dass der Browserverlauf, der dem Beweis der unzulässigen Nutzung diente, einem Beweisverwertungsverbot unterliege. Das Gericht hat hierzu ausgeführt, dass es sich zwar um personenbezogenen Daten handele und der Mitarbeiter bzw. ehemalige Mitarbeiter nicht in die Protokollierung bzw. in die Kontrolle eingewilligt habe, eine Verwertung jedoch statthaft sei, da das Bundesdatenschutzgesetz eine Auswertung und Speicherung des Browserverlaufs zur Missbrauchskontrolle auch ohne eine derartige Einwilligung erlaube. Diese Auffassung geht durchaus weiter, als nach § 31 BDSG erlaubt, da dieser Paragraph bestimmt, dass personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherheit oder zur Sicherstellung eines ordnungsgemäßen Betriebs gespeichert werden, auch nur für diesen Zweck verwendet werden dürfen. Hier geht es vor allem im Bereich des Internets um entsprechende Firewall- und Anti-Spam Protokolle. Nichtsdestotrotz geht vorwiegend das Landesarbeitsgericht offensichtlich davon aus, dass der Arbeitgeber den Browserverlauf auch zur Missbrauchskontrolle einsehen durfte, da er – so das LAG – keine andere Möglichkeit gehabt habe, mit anderen Mitteln den Umfang der unerlaubten Internetnutzung nachzuweisen.

Fazit:

Das Urteil des Landesarbeitsgerichts vom 14.01.2016 ist sehr interessant. Die vom Gericht entschiedene Frage wurde sehr häufig in der datenschutzrechtlichen Literatur diskutiert. Überwiegend wurde die Auffassung vertreten, dass Daten, die einer besonderen Zweckbindung unterliegen und lediglich zur Datenschutzkontrolle, zur Sicherstellung einer ordnungsgemäßen Betriebes und zur Datensicherung gespeichert werden – nicht für andere Zwecke verwendet werden dürfen. Insbesondere im Bereich der privaten Internetnutzung herrscht überwiegend die Auffassung, dass der Mitarbeiter über eine Protokollierung aufgeklärt und bei einer erlaubten privaten Nutzung auch einwilligen müsse. Dies ist/ war insbesondere dadurch bedingt, dass davon ausgegangen wurde, dass der Arbeitgeber bei einer gestatteten privaten Internetnutzung als Telekommunikationsanbieter anzusehen ist und dementsprechend auch dem Telekommunikationsgeheimnis unterliegt. Ob und inwieweit das Landesarbeitsgericht auf diese Problematik im Urteil eingeht, ist nicht bekannt, da dies noch nicht veröffentlich wurde. Es ist aber davon auszugehen, dass das Landesarbeitsgericht offensichtlich nicht diese Rechtsauffassung teilt, sondern im Gegensatz es für zulässig erachtet, die Daten des Browserverlaufes zur Missbrauchskontrolle einer in engen Grenzen gestattenden privaten Nutzung zu verwenden. Ob und inwieweit dieses Urteil Bestand haben wird, wird sich zeigen. Nichtsdestotrotz ist nach wie vor Unternehmen anzuraten, klare und verständliche Regelungen zur Internet und E-Mail Nutzung zu schaffen. Dies bringt auf beiden Seiten Vorteile, der Arbeitgeber ist rechtlich abgesichert und der Mitarbeiter weiß genau was er darf, was er nichts darf und welche Daten von ihm zu welchen Zwecken erhoben werden.

Privacy Shield

Aus „Safe Harbor“ mach „Privacy Shield“ – Endlich Rechtssicherheit?

Einigung zwischen Europa und USA zum transatlantischen Datenaustausch erzielt

Zähe und langwierige Verhandlungen zwischen Vertretern der US-Regierung der EU-Kommission und haben am 2. Februar 2016 endlich zu einem neuen Abkommen geführt, das den transatlantischen Austausch von personenbezogen Daten regelt.

Das neue Abkommen war notwendig geworden, weil der Europäische Gerichtshof (EuGH) im Oktober 2015 in dem berühmt gewordenen Schrems-Urteil das Safe-Harbor-Abkommen für unwirksam erklärt hatte (vgl. hierzu unseren Blogbeitrag). Dies begründete der EuGH seinerzeit vor allem mit der massenhaften Überwachung durch US-Geheimdienste.

Dies betrifft nicht nur europäische Unternehmen, welche die Dienste der großen US-Dienstleister „GAFA“ (Google, Amazon, Facebook, Apple) verwenden, sondern beinahe alle Unternehmen, die bestimmte cloud-basierte Dienste wie Microsoft Office 365, Skype, Dropbox oder Salesforce verwenden, um nur einige zu nennen.

Angemessenes Datenschutzniveau

Das europäische Datenschutzrecht schreibt vor, dass eine Übermittlung in Drittstaaten (= Staaten außerhalb der Europäischen Union) nur dann erlaubt ist, wenn in dem Empfängerland ein angemessenes Datenschutzniveau gewährleistet ist, was in den USA nicht der Fall ist. Um trotzdem rechtskonforme transatlantische Datenübermittlungen durchführen zu können, stützen sich europäische Unternehmen bislang oftmals auf das Safe-Harbor-Abkommen. Dies war seit dem EuGH-Urteil nicht mehr möglich.

Übergangslösung

Die europäischen und deutschen Datenschutzbehörden räumten den Unternehmen eine Übergangsfrist bis Ende Januar 2016 ein, um die Datenübertragung in die USA auf andere Rechtsgrundlagen zu stützen. Neben der ausdrücklichen Einwilligung der Nutzer wurden hierfür vor allem die sogenannten EU-Standardvertragsklauseln und Binding Corporate Rules (BCR) anerkannt. Allerdings machten die Datenschutzbehörden deutlich, dass die beiden letzteren Rechtsgrundlagen auch keine dauerhafte Gewähr für datenschutzkonforme Übertragungen bieten können.

Das Privacy Shield Abkommen soll nun wieder eine vierte Rechtsgrundlage bieten.

Eckpunkte des Privacy Shield

Von den konkreten Inhalten des Privacy Shield ist noch recht wenig bekannt, da die EU-Kommission bislang lediglich eine Pressemitteilung veröffentlicht hat. Dieser sind jedoch einige Kernpunkte zu entnehmen:

  • Schaffung eines Beschwerdeverfahrens für EU-Bürger, sich mit Unterstützung eines Ombudsmanns gegen unbefugte Zugriffe auf ihre Daten zu wehren
  • Überwachung des Abkommens durch die Federal Trade Commission (FTC)
  • Jährliche Evaluierung des Abkommens durch die EU-Kommission
  • US-Unternehmen müssen sich vom US Department of Commerce (Handelsministerium) zertifizieren lassen (wie schon bei Safe Harbor)
  • Sanktionen für Unternehmen bei Verstößen

Lob und Kritik

Optimistische Stimmen begrüßen die Einigung und sehen darin einen ersten wichtigen Schritt hin zu mehr Rechtssicherheit für die Datenübertragung.

Kritiker äußerten sich dahingehend, dass das neue Abkommen keine weitergehenden Anforderungen an den Schutz der Daten vor Geheimdienstzugriffen enthalte und daher den Anforderungen des Schrems-Urteils nicht entsprechen würde. Bislang basiere die Vereinbarung lediglich auf Absichtserklärungen der US-Behörden und nicht auf rechtsverbindlichen Zusagen. Auch die Vorsitzende der Art.-29-Gruppe (Zusammenschluss der europäischen Datenschutzbehörden) äußerte sich skeptisch.

Eine abschließende Bewertung ist derzeit mangels Veröffentlichung des Vertragstextes noch nicht möglich. Klar ist jedenfalls, dass die von den Datenschutzbehörden gesetzte „Schonfrist“ abgelaufen ist und Unternehmen tätig werden müssen. Eine weitere Übergangsfrist bis zum Abschluss der Verhandlungen zu Privacy Shield soll es ausdrücklich nicht geben. Soweit Datenübertragungen an US-Dienstleister auf Safe Harbor beruhen, besteht daher ab sofort dringender Handlungsbedarf.

Fazit

Es bleibt abzuwarten, wann das Abkommen tatsächlich verabschiedet wird und in Kraft tritt. Die dringend erforderliche schnelle Rechtssicherheit für europäische Unternehmen wird es vorerst leider nicht geben.

eu richtlinie cybersicherheit

Neue EU-Richtlinie für Cybersicherheit – Worauf müssen sich Unternehmen einstellen?

Der Cyber-Raum durchdringt heute nahezu alle Bereiche des staatlichen, wirtschaftlichen und sozialen Lebens. In allen Bereichen schafft die digitale Vernetzung unzählige und bisher noch nicht ausgeschöpfte Potenziale. Mit der zunehmenden Vernetzung wächst aber auch die Abhängigkeit des Staates, der Wirtschaft und Verbraucher von der Funktionsfähigkeit der IT-Systeme und des Cyber-Raums.

Am 07.12.2015 haben sich der Rat der Europäischen Union und das Europäische Parlament daher auf einen Entwurf für eine neue „Richtlinie zur Verbesserung der Netz- und Informationssicherheit (kurz: NIS-Richtlinie) verständigt. Der Cyber-Raum kennt keine nationalen Grenzen. Ziel der NIS-Richtlinie ist es daher, in allen EU-Staaten durch ein einheitliches Bündel von Maßnahmen den Schutz von Institutionen, Unternehmen und Verbrauchern vor sogenannten „Cybergefahren“ ­– etwa technische Störungen, Hackerangriffe und Datenschutzverletzungen – zu verbessern.

Wen betrifft die NIS-Richtlinie?

Nach der NIS-Richtlinie sollen nicht nur die öffentliche Verwaltung, sondern auch bestimmte Unternehmen, sogenannte „Marktteilnehmer“, in die Pflicht genommen werden. Wer „Marktteilnehmer“ ist, ergibt sich ebenfalls aus der NIS-Richtlinie: Zum einen sind dies die Betreiber von bestimmten „Diensten der Informationsgesellschaft“, nämlich: Betreiber von elektronischen Marktplätzen (etwa Online-Shops, App-Stores und andere elektronische Marktplätze), Suchmaschinen und Anbieter von Cloud-Diensten. Zum anderen sollen auch Betreiber von „kritischen Infrastrukturen“ in die Pflicht genommen werden, dazu zählen unter anderem Unternehmen der Energie-, Verkehrs-, Finanz- und Gesundheitswirtschaft.

Wen betrifft die NIS-Richtlinie nicht?

Keine „Marktteilnehmer“ im Sinne der NIS-Richtlinie – und somit nicht von den darin vorgesehenen Verpflichtungen betroffen – sollen hingegen soziale Netzwerke sein. Zudem soll es Ausnahmen für „kleine Unternehmen“ – das sind Unternehmen mit weniger als 50 Mitarbeitern, deren Jahresumsatz sich auf nicht mehr als 10 Millionen Euro beläuft – geben.

Was ändert sich?

Die NIS-Richtlinie sieht vor, dass die Marktteilnehmer verpflichtet werden, branchenabhängige, technische und organisatorische Maßnahmen zur Abwehr von Cybergefahren zu ergreifen. Zudem sollen sie verpflichtet werden, bestimmte Sicherheitsvorfälle den Behörden zu melden und die betroffenen Personen zu unterrichten. Verstöße sollen sanktioniert werden. Die EU-Staaten sollen verpflichtet werden, eine für die nationale Cybersicherheit zuständige Behörde zu benennen und eine Cyber-Strategie aufzustellen. Hierdurch soll die Zusammenarbeit zwischen den EU-Staaten verbessert werden. Außerdem muss jeder EU-Staat ein nationales „Soforteinsatzteam für IT-Sicherheitsvorfälle“ („Computer Security Incident Response Teams“, kurz CSIRT) einrichten, welches mit den anderen CSIRTs der jeweils anderen EU-Staaten ständig vernetzt ist.

Verhältnis zum IT-Sicherheitsgesetz

Es drängt sich die Frage auf, in welchem Verhältnis die NIS-Richtlinie zum deutschen IT-Sicherheitsgesetz steht. Das IT-Sicherheitsgesetz ist bereits im Juli 2015 in Kraft getreten und erlegt Betreibern sogenannter kritischer Infrastrukturen ebenfalls technische und organisatorische Maßnahmen sowie Meldepflichten auf, wobei auch hier Verstöße sanktioniert werden können. Im Vergleich zeigt sich jedoch, dass die NIS-Richtlinie deutlich über das IT-Sicherheitsgesetz hinausgeht. Dies gilt insbesondere hinsichtlich des weiten Anwendungsbereichs der NIS-Richtlinie. Die NIS-Richtlinie sieht vor, dass auch solche Unternehmen in die Pflicht genommen werden, die – zumindest auf den ersten Blick – vergleichsweise „unkritische“ digitale Dienste anbieten, etwa Suchmaschinen und Online-Shops.

Zeitplan und Handlungsempfehlung

Die NIS-Richtlinie soll noch Anfang 2016 in Kraft treten. Danach hätten die EU-Mitgliedsstaaten 21 Monate Zeit, um die entsprechenden Umsetzungsgesetze zu schaffen.

Auch wenn das IT-Sicherheitsgesetz bereits einige der von der NIS-Richtlinie vorgesehenen Maßnahmen vorwegnimmt, sollten alle Unternehmen – unabhängig davon, ob sie vom geltenden IT-Sicherheitsgesetz betroffen sind oder nicht – prüfen, ob Sie dem Anwendungsbereich der NIS-Richtlinie unterfallen können und so die sich daraus möglicherweise ergebende Notwendigkeit zur Umsetzung von Sicherheitsmaßnahmen frühzeitig identifizieren und berücksichtigen zu können. Da der Wortlaut des vorliegenden Entwurfes der NIS-Richtlinie in vielen wichtigen Punkten unspezifisch ist, kann zurzeit aber nicht immer zuverlässig eingeschätzt werden, ob ein Unternehmen betroffen sein wird und, falls ja, welche konkreten Schutzmaßnahmen ihm auferlegt werden.

DSFA

EU-Datenschutzgrundverordnung (DSGVO)

Die Datenschutzgrundverordnung kommt und führt zu weitreichenden Änderungen im Datenschutz. Betroffene Unternehmen sollten sich daher frühzeitig mit den Neuerungen und deren Implementierung auseinandersetzen.

„Gut Ding will Weile haben“

Nach fast vierjähriger Verhandlung wurde Ende 2015 die im Mai 2018 wirksam werdende EU–Datenschutzgrundverordnung (DSGVO) veröffentlicht. Damit wird sie die bereits seit 1995 geltende EU-Datenschutzrichtlinie mit dem Ziel ablösen, das Datenschutzniveau innerhalb der EU anzugleichen und die Rechte der Betroffenen stärker zu schützen.

Bereits im Jahr 2012 wurde die Reformierung des europäischen Datenschutzes durch einen ersten Entwurf der EU-Kommission eingeleitet. Es folgten Jahre zäher Auseinandersetzungen und Bemühungen die über 4000 Änderungsanträge abzuarbeiten, bis man sich schließlich im Juni 2015 auf eine allgemeine Ausrichtung einigen konnte.

Nachdem die bisher geltende EU-Datenschutzrichtlinie als Richtlinie keine unmittelbare Geltung in den jeweiligen EU-Mitgliedsstaaten hatte, sondern durch nationale Gesetzte umgesetzt werden musste, ist die neu gewählte Form der EU-Verordnung, als Instrument der Rechtsvereinheitlichung, für alle EU-Mitgliedsstaaten bindend und löst mit Wirksamwerden voraussichtlich das BDSG ab.

Das in Kraft treten der DSGVO wird weitreichende Veränderungen in der Umsetzung des Datenschutzes innerhalb der EU haben. So sollen insbesondere datenschutzrechtliche „Rückzugsräume“ in Ländern mit niedrigerem Datenschutzniveau verhindert, der Verwaltungsaufwand verringert und den Unternehmen einheitliche Maßstäbe für die Einhaltung des Datenschutzes an die Hand gegeben werden. Dabei wird die Verordnung nicht nur für in der EU ansässige Unternehmen gelten, sondern vielmehr auch für Unternehmen mit Sitz außerhalb der EU, welche personenbezogene Daten von in der EU lebenden Personen erheben und verarbeiten, und die Unternehmenstätigkeit einen EU-Bezug aufweist. Dies dürfte auch für Auftragsdatenverarbeiter zutreffen, die Daten von EU-Bürgern verarbeiten und deren Auftraggeber ihren Sitz in der EU haben.

Die wesentlichen Änderungen

Die Neuerungen die durch in Kraft treten der Verordnung wirksam werden sind sowohl für Betroffene als auch für Unternehmen weitreichend.

Die Rechte der Betroffenen, also Personen deren Daten verarbeitet werden, werden insoweit gestärkt, als dass diese mehr Kontrolle über ihre Daten erhalten durch:

  • die Erforderlichkeit einer ausdrücklichen Einwilligung zur Verarbeitung ihrer Daten
  • das Recht auf Berichtigung, Löschung sowie das Vergessen werden
  • den einfacheren Zugang zu ihren Daten
  • die Sicherung der Übertragbarkeit der Daten von einem Anbieter auf den Anderen
  • das Widerspruchsrecht des Betroffenen zur Verwendung der Daten zur „Profilerstellung“

Auch für Unternehmen, die mit personenbezogenen Daten arbeiten, ergeben sich dadurch tiefgreifende Änderungen:

  • Unternehmen müssen in größerem Umfang als bisher Auskunft über die durch sie gespeicherten Daten geben
  • das Angebot der Unternehmen soll möglichst datensparsam konzipiert werden und es sollen nur Daten erhoben werden die zur Erbringung des Dienstes benötigt werden
  • das Unternehmen ist verpflichtet, geeignete Sicherheitsmaßnahmen zu treffen die dem Risiko der Datenverarbeitungsvorgänge entsprechen
  • die Unternehmen treffen zukünftig weitergehende Meldepflichten bei Datenschutzverstößen
  • bei „riskanten Datenverarbeitungsvorgängen“ trifft das Unternehmen die Pflicht, einen Datenschutzbeauftragten zu benennen
  • durch eine Öffnungsklausel bleiben den Mitgliedstaaten rechtliche Spielräume hinsichtlich der Einsetzung eines Datenschutzbeauftragten, wodurch die bisherige deutsche Praxis in diesem Bereich weitestgehend beibehalten werden kann

Hohe Bußgelder und Schadenersatz

Bei Verstößen durch die datenverarbeitenden Unternehmen drohen in Zukunft Bußgelder von bis zu 4 Prozent des Jahresumsatzes des Unternehmens. Dies kann für große Unternehmen schnell zu empfindlichen Strafen in Millionenhöhe führen.

Schließlich wird weiterhin an der Pflicht der Mitgliedstaaten festgehalten, eine unabhängige Aufsichtsbehörde auf nationaler Ebene einzurichten. Bei diesen Aufsichtsbehörden sollen Betroffene künftig, neben der Option den ordentlichen Rechtsweg zu beschreiten, die Möglichkeit erhalten, Beschwerde über etwaige Verstöße einzulegen. Zudem enthält die DSGVO explizite Haftungs- und Schadensersatzregelungen im Hinblick auf Datenschutzverstöße durch datenverarbeitende Unternehmen.

Es ist daher für solche Unternehmen ratsam, sich möglichst frühzeitig mit den Umsetzungen der neuen Anforderungen der DSGVO auseinanderzusetzten und die zweijährige Übergangszeit zu nutzen um im Zeitpunkt des Wirksamwerdens gewappnet zu sein und Strafen wegen Verzögerung bei der Umsetzung zu entgehen. Es sollten in dieser Zeit die Prozesse im Unternehmen überprüft und nach Lösungen im Hinblick auf die datenschutzrechtlichen Änderungen gesucht werden.

Dieser Artikel wird der Beginn einer ganzen Reihe von Einzelbeiträgen sein, die in naher Zukunft auf die wesentlichen Neuerungen durch die DSGVO detailliert eingehen werden. Dabei sollen Lösungsansätze und Umsetzungshinweise in den für Unternehmen relevanten Themengebieten gegeben werden, wie z. B.

  • Anforderungen an die Einwilligung und Umsetzung des Löschungsanspruches
  • Verarbeitung besonderer personenbezogener Daten
  • Outsourcing und Datenschutzmanagement
  • Auditierung und Zertifizierung
  • Datenübermittlung ins EU-Ausland
  • Datenverarbeitung im Internet
  • Datenschutzbeauftragte im Unternehmen und die Umsetzung im Hinblick auf nationale Gesetzgebungen

[:en]Die Datenschutzgrundverordnung kommt und führt zu weitreichenden Änderungen im Datenschutz. Betroffene Unternehmen sollten sich daher frühzeitig mit den Neuerungen und deren Implementierung auseinandersetzen.

Gut Ding will Weile haben“

Nach fast vierjähriger Verhandlung wurde Ende 2015 die zum Beginn des Jahres 2018 wirksam werdende EU – Datenschutzgrundverordnung (DSGVO) veröffentlicht. Damit wird sie die bereits seit 1995 geltende EU-Datenschutzrichtlinie mit dem Ziel ablösen, das Datenschutzniveau innerhalb der EU anzugleichen und die Rechte der Betroffenen stärker zu schützen.

Diese finale Fassung ist das Ergebnis langer Verhandlungen von Europäischer Kommission, Europäischem Rat und dem Europäischen Parlament und soll im Frühjahr dieses Jahres noch formal verabschiedet werden.

Bereits im Jahr 2012 wurde die Reformierung des europäischen Datenschutzes durch einen ersten Entwurf der EU-Kommission eingeleitet. Es folgten Jahre zäher Auseinandersetzungen und Bemühungen die über 4000 Änderungsanträge abzuarbeiten, bis man sich schließlich im Juni 2015 auf eine allgemeine Ausrichtung einigen konnte.

Nachdem die bisher geltende EU-Datenschutzrichtlinie als Richtlinie keine unmittelbare Geltung in den jeweiligen EU-Mitgliedsstaaten hatte, sondern durch nationale Gesetzte umgesetzt werden musste, ist die neu gewählte Form der EU-Verordnung, als Instrument der Rechtsvereinheitlichung, für alle EU-Mitgliedsstaaten bindend und löst mit Wirksamwerden voraussichtlich das BDSG ab.

Das in Kraft treten der DSGVO wird weitreichende Veränderungen in der Umsetzung des Datenschutzes innerhalb der EU haben. So sollen insbesondere datenschutzrechtliche „Rückzugsräume“ in Ländern mit niedrigerem Datenschutzniveau verhindert, der Verwaltungsaufwand verringert und den Unternehmen einheitliche Maßstäbe für die Einhaltung des Datenschutzes an die Hand gegeben werden. Dabei wird die Verordnung nicht nur für in der EU ansässige Unternehmen gelten, sondern vielmehr auch für Unternehmen mit Sitz außerhalb der EU, welche personenbezogene Daten von in der EU lebenden Personen erheben und verarbeiten, und die Unternehmenstätigkeit einen EU-Bezug aufweist. Dies dürfte auch für Auftragsdatenverarbeiter zutreffen, die Daten von EU-Bürgern verarbeiten und deren Auftraggeber ihren Sitz in der EU haben.

Die wesentlichen Änderungen

Die Neuerungen die durch in Kraft treten der Verordnung wirksam werden sind sowohl für Betroffene als auch für Unternehmen weitreichend.

Die Rechte der Betroffenen, also Personen deren Daten verarbeitet werden, werden insoweit gestärkt, als dass diese mehr Kontrolle über ihre Daten erhalten durch:

  • die Erforderlichkeit einer ausdrücklichen Einwilligung zur Verarbeitung ihrer Daten
  • das Recht auf Berichtigung, Löschung sowie das Vergessen werden
  • den einfacheren Zugang zu ihren Daten
  • die Sicherung der Übertragbarkeit der Daten von einem Anbieter auf den Anderen
  • das Widerspruchsrecht des Betroffenen zur Verwendung der Daten zur „Profilerstellung“

Auch für Unternehmen, die mit personenbezogenen Daten arbeiten, ergeben sich dadurch tiefgreifende Änderungen:

  • Unternehmen müssen in größerem Umfang als bisher Auskunft über die durch sie gespeicherten Daten geben
  • das Angebot der Unternehmen soll möglichst datensparsam konzipiert werden und es sollen nur Daten erhoben werden die zur Erbringung des Dienstes benötigt werden
  • das Unternehmen ist verpflichtet, geeignete Sicherheitsmaßnahmen zu treffen die dem Risiko der Datenverarbeitungsvorgänge entsprechen
  • die Unternehmen treffen zukünftig weitergehende Meldepflichten bei Datenschutzverstößen
  • bei „riskanten Datenverarbeitungsvorgängen“ trifft das Unternehmen die Pflicht, einen Datenschutzbeauftragten zu benennen
  • durch eine Öffnungsklausel bleiben den Mitgliedstaaten rechtliche Spielräume hinsichtlich der Einsetzung eines Datenschutzbeauftragten, wodurch die bisherige deutsche Praxis in diesem Bereich weitestgehend beibehalten werden kann

Hohe Bußgelder und Schadenersatz

Bei Verstößen durch die datenverarbeitenden Unternehmen drohen in Zukunft Bußgelder von bis zu 4 Prozent des Jahresumsatzes des Unternehmens. Dies kann für große Unternehmen schnell zu empfindlichen Strafen in Millionenhöhe führen.

Schließlich wird weiterhin an der Pflicht der Mitgliedstaaten festgehalten, eine unabhängige Aufsichtsbehörde auf nationaler Ebene einzurichten. Bei diesen Aufsichtsbehörden sollen Betroffene künftig, neben der Option den ordentlichen Rechtsweg zu beschreiten, die Möglichkeit erhalten, Beschwerde über etwaige Verstöße einzulegen. Zudem enthält die DSGVO explizite Haftungs- und Schadensersatzregelungen im Hinblick auf Datenschutzverstöße durch datenverarbeitende Unternehmen.

Es ist daher für solche Unternehmen ratsam, sich möglichst frühzeitig mit den Umsetzungen der neuen Anforderungen der DSGVO auseinanderzusetzten und die zweijährige Übergangszeit zu nutzen um im Zeitpunkt des Wirksamwerdens gewappnet zu sein und Strafen wegen Verzögerung bei der Umsetzung zu entgehen. Es sollten in dieser Zeit die Prozesse im Unternehmen überprüft und nach Lösungen im Hinblick auf die datenschutzrechtlichen Änderungen gesucht werden.

Dieser Artikel wird der Beginn einer ganzen Reihe von Einzelbeiträgen sein, die in naher Zukunft auf die wesentlichen Neuerungen durch die DSGVO detailliert eingehen werden. Dabei sollen Lösungsansätze und Umsetzungshinweise in den für Unternehmen relevanten Themengebieten gegeben werden, wie z. B.

  • Anforderungen an die Einwilligung und Umsetzung des Löschungsanspruches
  • Verarbeitung besonderer personenbezogener Daten
  • Outsourcing und Datenschutzmanagement
  • Auditierung und Zertifizierung
  • Datenübermittlung ins EU-Ausland
  • Datenverarbeitung im Internet
  • Datenschutzbeauftragte im Unternehmen und die Umsetzung im Hinblick auf nationale Gesetzgebungen
dsgvo-eu-mitgliedslaender

Neue Pflichten für Webseitenbetreiber durch Verordnung zur Online-Streitbeilegung

Durch die Europäische ODR-Verordnung ergeben sich für viele Webseitenbetreiber neue Pflichten zum Hinweis auf das sogenannte Verfahren zur Online-Streitbeilegung.

EU-Verordnung

Mit Wirkung zum 09. Januar 2016 ist die EU-Verordnung über die Online-Beilegung von Verbraucherstreitigkeiten (VO 524/2013/EU) in Kraft getreten. Die OS- bzw. ODR-Verordnung (dt. Online-Streitbeilegung; engl. online dispute resolution) gilt in allen EU-Mitgliedsstaaten unmittelbar und verpflichtet bestimmte Webseitenbetreiber dazu, ihre Kunden auf das OS-Verfahren hinzuweisen.

Pflichten für Webseitenbetreiber

Konkret bedeutet dies für alle europäischen Webseitenbetreiber, die Waren oder Dienstleistungen über ihre Webseite gegenüber Verbrauchern („B2C“) anbieten, dass sie ab sofort „in leicht zugänglicher Weise“ durch einen Link auf die OS-Plattform hinweisen müssen. Die Plattform wird durch die Europäische Kommission betrieben und ist unter http://ec.europa.eu/odr/ erreichbar.

Geeignete Stelle für den Hinweis sind neben dem Impressum vor allem die Allgemeinen Geschäftsbedingungen der Webseite.

Darüber hinaus müssen Seitenbetreiber ergänzend zum Link eine E-Mail-Kontaktadresse angeben, unter der Sie erreichbar sind.

Im Übrigen hat die EU-Kommission am 01. Juli 2015 eine Durchführungsverordnung (VO 2015/1051/EU) erlassen, die die Funktionen der Plattform und des elektronischen Beschwerdeformulars im Einzelnen regelt.

Allerdings hat es die EU-Kommission versäumt, die OS-Plattform rechtzeitig zum 09. Januar 2016 zur Verfügung zu stellen. Auf der Seite der EU-Kommission (http://ec.europa.eu/consumers/solving_consumer_disputes/non-judicial_redress/adr-odr/index_en.htm) findet sich lediglich folgender Hinweis: “The ODR platform will be operational on 9 January 2016 and made accessible in stages. It will become accessible to consumers and traders on 15 February 2016″.

Empfehlung

Obwohl die Plattform also (noch) nicht in Funktion ist, sollten betroffene Webseitenbetreiber bereits jetzt aktiv werden und auf die OS-Plattform hinweisen. Hierfür empfehlen wir für die „Übergangszeit“ (bis voraussichtlich Mitte Februar 2015) zunächst folgenden Text:

„Seit dem 9. Januar 2016 sollen Streitigkeiten zwischen Verbrauchern und Händlern im Zusammenhang von Online-Kaufverträgen oder Online-Dienstleistungsverträgen über die Online-Plattform http://ec.europa.eu/odr/ beigelegt werden. Die Online-Plattform der EU-Kommission wird voraussichtlich ab dem 15. Februar 2016 in Funktion sein.

Unsere E-Mailadresse lautet: xxx@yyy.com.“

ADR-Richtlinie

Die ODR-Verordnung ist nicht zu verwechseln mit der AS- bzw. ADR-Richtlinie (RL 2013/11/EU). Diese Richtlinie betrifft die Alternative Streitbeilegung (engl. alternative dispute resolution) und gilt für die außergerichtliche Beilegung von Streitigkeiten, bei denen die in der Union wohnhaften Verbraucher gegen in der Union niedergelassenen Unternehmer vorgehen können. Die ADR-Richtlinie und die ODR-Verordnung haben indes einen ähnlichen Regelungsinhalt und ergänzen einander. Anders als die Verordnung gilt diese Richtlinie nicht unmittelbar, sondern bedarf eines nationalen Durchführungsgesetzes. Mit dem Gesetz über die alternative Streitbeilegung in Verbrauchersachen (VSBG) hat der Deutsche Bundestag am 3. Dezember 2015 ein solches Gesetz verabschiedet. Das Gesetz muss nun noch den Bundesrat passieren und soll dann 2017 in Kraft treten. Es gilt daher noch nicht.

Konsequenzen bei Nicht-Umsetzung

Die ODR-Verordnung enthält keine Bußgeldvorschriften, weswegen ein Verstoß hiergegen nicht durch die Behörden sanktioniert werden kann. Darüber hinaus ist noch unklar, inwieweit Verstöße gegen die Verordnung als wettbewerbswidriges Verhalten eingestuft werden können. Indes besteht zumindest die Gefahr, dass Webseitenbetreiber, die den Hinweis unterlassen, durch Mitbewerber abgemahnt werden. Allein um dieses Risiko zu vermeiden, sollte die Hinweispflicht umgehend umgesetzt werden.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.